home *** CD-ROM | disk | FTP | other *** search

---

/ Software Vault: The Gold Collection / Software Vault - The Gold Collection (American Databankers) (1993).ISO / cdr12 / lnn0102.zip / LNN1.002

Wrap

Text File  |  1993-04-19  |  66KB  |  1,339 lines

---

1.  
2.       ▒▒▄     ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▄        ▒▒▒▄▄ ▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄
3.       ▒▒█     ▒▒█▀▀▀▀ ▒▒█▀▀▀▀ ▒▒█▀▒▒█ ▒▒█        ▒▒█▒▒█▒▒█ ▒▒█▀▀▀▀  ▀▒▒█▀▀ 
4.       ▒▒█     ▒▒▒▒▒▄  ▒▒█▒▒▒▄ ▒▒▒▒▒▒█ ▒▒█        ▒▒█ ▀▒▒▒█ ▒▒▒▒▒▄    ▒▒█   
5.       ▒▒█     ▒▒█▀▀▀  ▒▒█ ▒▒█ ▒▒█ ▒▒█ ▒▒█        ▒▒█   ▒▒█ ▒▒█▀▀▀    ▒▒█   
6.       ▒▒▒▒▒▒▄ ▒▒▒▒▒▒▄ ▒▒▒▒▒▒█ ▒▒█ ▒▒█ ▒▒▒▒▒▒▄    ▒▒█   ▒▒█ ▒▒▒▒▒▒▄   ▒▒█   
7.        ▀▀▀▀▀▀  ▀▀▀▀▀▀  ▀▀▀▀▀▀  ▀▀  ▀▀  ▀▀▀▀▀▀     ▀▀    ▀▀  ▀▀▀▀▀▀    ▀▀   
8.                        ▒▒▒▄▄ ▒▒▄ ▒▒▒▒▒▒▄ ▒▒▄   ▒▒▄ ▒▒▒▒▒▒▄ 
9.                        ▒▒█▒▒█▒▒█ ▒▒█▀▀▀▀ ▒▒█   ▒▒█ ▒▒█▀▀▀▀ 
10.                        ▒▒█ ▀▒▒▒█ ▒▒▒▒▒▄  ▒▒█   ▒▒█ ▒▒▒▒▒▒▄ 
11.                        ▒▒█   ▒▒█ ▒▒█▀▀▀  ▒▒█▒▒▄▒▒█  ▀▀▀▒▒█ 
12.                        ▒▒█   ▒▒█ ▒▒▒▒▒▒▄  ▀▒▒▒▒█▀▀ ▒▒▒▒▒▒█ 
13.                         ▀▀    ▀▀  ▀▀▀▀▀▀    ▀▀▀▀    ▀▀▀▀▀▀ 
14.  
15.  
16.                              Legal Net Newsletter
17.  
18.                       Volume 1, Issue 2 -- 19 April, 1993
19.  
20.  
21.           Legal Net Newsletter is dedicated to providing information
22.          on the legal issues of computing and networking in the 1990's
23.                               and into the future.
24.  
25.  
26.  
27.        The information contained in this newsletter is not to be
28.        misconstrued as a bona fide legal document, nor is it to be taken
29.         as an advocacy forum for topics discussed and presented herein.
30.           The information contained within this newsletter has been
31.           collected from several governmental institutions, computer
32.          professionals and third party sources. Opinion and ideological
33.        excerpts have been collected from many sources with prior approval.
34.  
35.           Copyright (c) 1993 Paul Ferguson -- All rights reserved.
36.  
37.            Legal Net News is released approximately twice a month.
38.        E-mail submissions, comments and editorials to: fergp@sytex.com
39.  
40.  
41. - --
42.  
43. In this issue --
44.  
45.  o Editorial Forward -- How much is too much?
46.  o Threats to Privacy -- February extract from Boardwatch Magazine
47.    on proposed Digital Telephony legislation. Article by Shari Steele,
48.    of the Electronic Frontier Foundation (EFF)
49.  o RSA & DES Encryption Control -- Vinton Cerf
50.  o "Promising technology alarms government --
51.    Use of super-secret codes would block legal phone taps in FBI's
52.    crime work". Article by Joe Abernathy, formerly of the Houston Chronicle
53.  o Lance Rose's "SYSLAW" -- Book review by Rob Slade
54.  o White House Electronic Publications and Public Access E-Mail - FAQ
55.  o LATE BREAKING NEWS -  The "Clipper Chip" debate
56.  o Further recommended legal-oriented reading
57.  
58. - --
59.  
60.                          How much is too much?
61.  
62.                        (or, When do we say no?)
63.  
64. With the introduction of the Digital Telephony proposal last year, a
65. virtual Pandora's box of privacy infringement was opened. Several
66. outspoken groups were quick to speak out and take a rock-solid stance
67. on a topic that could very well touch each of our lives in a very
68. personal way. The Electronic Frontier Foundation (EFF) and The CPSR
69. (Computer Professionals for Social Responsibility) are examples of just
70. two such groups with a large and established electronic following who
71. spoke out and were incensed with the ideals expressed in the desire to
72. implement this policy.
73.  
74. This proposal would require communications providers (such as AT&T,
75. MCI and other carriers) and software developers who produce any type
76. of encryption software (such as LOTUS NOTES, for example) to leave a
77. "back door" in their services for law enforcement agencies to monitor
78. electronic communications in plain text, "if necessary". This proposal
79. would make it possible for the FBI, or other governmental law
80. enforcement agencies, to actively monitor private electronic
81. communications. Additionally, the United States Government wants to
82. control secure methods of "personal" encryption in areas such as public
83. key encryption by "licensing" private keys for personal use.
84.  
85. In INFO SECURITY NEWS, Volume 4, Number 2, March/April 1993, there is
86. an interesting article with Dorothy Denning, who is described as
87. "...a cryptographic researcher, she wrote the widely known and
88. highly regarded text, Cryptography and Data Security"."She
89. currently chairs the computer science department at Georgetown
90. University in Washington, DC." Dorothy Denning is a respected
91. professional in the field, but she holds some rather dangerous
92. opinions. When asked by INFO SECURITY NEWS' Timothy Garon about the
93. subject -
94.  
95. "GARON: 'You recently wrote a paper on the FBI's proposed bill to
96. require communication companies to provide and maintain the ability to
97. tap digital communications. You support the government proposal while
98. many others in the field have taken the opposite view, that there is
99. too much Big Brother contained in it. What is your position?'
100.  
101. DENNING: 'It should be enacted because wiretapping is an important
102. tool for law enforcement. It's the only tool that can be used to deal
103. with certain criminal cases that can't be solved by other means, for
104. example, in major cases involving narcotics, organized crime and
105. terrorist activities. It would be a mistake to lose the capability to
106. use that tool when, by proper designing and planning of our
107. telecommunication systems, we can make the tool available when needed.
108. If we lose that capability for electronic surveillance, we're
109. potentially opening ourselves up to a situation where we won't be able
110. to deal effectively with certain serious crimes.'"
111.  
112. Hopefully, Legal Net News presents the details necessary to help you
113. make a decision and take a stance, one way or the other.
114.  
115.  - Paul Ferguson, Editor, Legal Net Newsletter
116.  
117. - --
118.  
119. "Threats to Privacy"
120. "FBIs Wiretapping Proposal Thwarted"
121. Extracted from Boardwatch Magazine, February, 1993,
122. pages 19 - 22 (BBS Legislative Watch, Shari Steele, EFF) -
123.  
124. "In a move that worried privacy experts, software manufacturers and
125. telephone companies, the FBI proposed legislation to amend the
126. Communications Act of 1934 to make it easier for the Bureau to perform
127. electronic wiretapping. The proposed legislation, entitled 'Digital
128. Telephony,' would have required communications service providers and
129. hardware manufacturers to make their systems 'tappable' by providing
130. 'back doors' through which law enforcement officers could intercept
131. communications. Furthermore, this capability would have been provided
132. undetectably, while the communications was in progress, exclusive of
133. any communications between other parties, regardless of the mobility
134. of the target of the FBI's investigation, and without degradation of
135. service.
136.  
137. "The privacy implications are frightening. Today, all sorts of
138. information about who we are and what we do, such as medical records,
139. credit reports and employment data, are held on electronic databases.
140. If these databases have government-mandated 'tappability,' this
141. private information could be accessed by anyone tapping in. In
142. addition, the language in the proposed bill is vague. This is
143. especially troubling since, under the proposal, the Department of
144. Justice (DOJ) can keep communications products off the market if it
145. determines that these products do not meet the DOJ's own vague
146. guidelines. This will probably result in increased costs and reduced
147. competitiveness for service providers and equipment manufacturers,
148. since they will be unlikely to add any features that may result in a
149. DOJ rejection of their entire product. And to add insult to injury,
150. the FBI proposal suggests that the cost of this wiretapping 'service'
151. to the Bureau would have to be borne by the service provider itself,
152. which ultimately means you and I will be paying higher user fees.
153.  
154. "The Electronic Frontier Foundation organized a broad coalition of
155. public interest and industry groups, from Computer Professionals for
156. Social Responsibility (CPSR) and the ACLU to AT&T and Sun
157. Microsystems, to oppose the legislation. A white paper produced by
158. the EFF and ratified by the coalition, entitled, 'An Analysis of the
159. FBI Digital Telephony Proposal,' was widely distributed throughout the
160. Congress. Senator Patrick Leahy (D-Vermont) and Representative Don
161. Edwards (D-California), chairs of two key committees, referred to the
162. EFF paper as they delayed the introduction of the FBI's proposal. As
163. Leahy stated before the Senate, 'Our goal is to assist law
164. enforcement,' but 'without jeopardizing privacy rights or frustrating
165. the development of new communications technologies.' The Justice
166. Department lobbied hard in the final days to get Congress to take up
167. the bill before Congress adjourned, but the bill never even found a
168. Congressional sponsor (and was therefore never officially introduced).
169. The FBI will almost certainly reintroduce "Digital Telephony" when the
170. 103rd Congress convenes in January."
171.  
172. - --
173.  
174. Date:         Thu, 8 Apr 1993 17:53:32 -0400
175. From: BITNET list server at GWUVM (1.7f) <uunet!gwuvm.gwu.edu!LISTSERV>
176. Subject:      File: "CRYPTO ARTICLE"
177. To: Paul Ferguson <SYTEX.COM!fergp>
178.  
179. This cryptography article appeared Sunday, June 21. It is being forwarded to
180. RISKS as a way of giving back something to the many thoughtful participants
181. here who helped give shape to the questions and the article.
182.  
183. In a companion submission [see RISKS-13.61], I include the scanned text of the
184. NSA's 13-page response to my interview request, which appears to be the most
185. substantial response they've provided to date. I would like to invite feedback
186. and discussion on the article and the NSA document.  Please send comments to
187. edtjda@chron.com
188.  
189.                Promising technology alarms government --
190.   Use of super-secret codes would block legal phone taps in FBI's crime work
191.           By JOE ABERNATHY, Copyright 1992, Houston Chronicle
192.  
193.    Government police and spy agencies are trying to thwart new technology that
194. allows conversations the feds can't tap.  A form of cryptography -- the science
195. of writing and deciphering codes -- this technology holds the promise of
196. guaranteeing true privacy for transactions and communications.  But an array
197. of Federal agencies is seeking to either outlaw or severely restrict its use,
198. pointing out the potency of truly secret communications as a criminal tool.
199.  
200.    ``Cryptography offers or appears to offer something that is unprecedented,''
201. said Whitfield Diffie, who with a Stanford University colleague devised public
202. key cryptography,'' an easily used cryptography that is at the center of the
203. fight.  ``It looks as though an individual might be able to protect information
204. in such a way that the concerted efforts of society are not going to be able to
205. get at it.  ``No safe you can procure has that property; the strongest safes
206. won't stand an hour against oxygen lances. But cryptography may be different. I
207. kind of understand why the police don't like it.''
208.  
209.    The National Security Agency, whose mission is to conduct espionage against
210. foreign governments and diplomats, sets policy for the government on matters
211. regarding cryptography.  But the FBI is taking the most visible role. It is
212. backing legislation that would address police fears by simply outlawing any use
213. of secure cryptography in electronic communications.  The ban would apply to
214. cellular phones, computer networks, and the newer standard telephone equipment
215. -- already in place in parts of Houston's phone system and expected to gain
216. wider use nationwide.
217.  
218.    ``Law enforcement needs to keep up with technology,'' said Steve Markardt, a
219. spokesman for the FBI in Washington.  ``Basically what we're trying to do is
220. just keep the status quo. We're not asking for anything more intrusive than we
221. already have.''  He said the FBI uses electronic eavesdropping only on complex
222. investigations involving counterterrorism, foreign intelligence, organized
223. crime, and drugs.  ``In many of those,'' he said, we would not be able to
224. succeed without the ability to lawfully intercept.''
225.  
226.    The State and Commerce departments are limiting cryptography's spread
227. through the use of export reviews, although many of these reviews actually are
228. conducted by the NSA. The National Institute of Standards and Technology,
229. meanwhile, is attempting to impose a government cryptographic standard that
230. critics charge is flawed, although the NSA defends the standard as adequate
231. for its intended, limited use.
232.  
233.    ``It's clear that the government is unilaterally trying to implement a
234. policy that it's developed,'' said Jim Bidzos, president of RSA Data Security,
235. which holds a key cryptography patent.  ``Whose policy is it, and whose
236. interest does it serve? Don't we have a right to know what policy they're
237. pursuing?''  Bidzos and a growing industry action group charge that the policy
238. is crippling American business at a critical moment.
239.  
240.    The White House, Commerce Department, and NIST refused to comment.
241.  
242.    The NSA, however, agreed to answer questions posed in writing by the Houston
243. Chronicle. Its purpose in granting the rare, if limited, access, a spokesman
244. said, was ``to give a true reflection'' of the policy being implemented by the
245. agency.  ``Our feeling is that cryptography is like nitroglycerin: Use it
246. sparingly then put it back under trusted care,'' the spokesman said.
247.  
248.    Companies ranging from telephone service providers to computer manufacturers
249. and bankers are poised to intro duce new services and products including
250. cryptography.  Users of electronic mail and computer networks can expect to see
251. cryptography-based privacy enhancements later this year.
252.  
253.    The technology could allow electronic voting, electronic cash transactions,
254. and a range of geographically separated -- but secure -- business and social
255. interactions. Not since the days before the telephone could the individual
256. claim such a level of privacy.
257.  
258.    But law enforcement and intelligence interests fear a world in which it
259. would be impossible to execute a wiretap or conduct espionage.
260.  
261.    ``Secure cryptography widely available outside the United States clearly
262. has an impact on national security,'' said the NSA in its 13-page response to
263. the Chronicle.  ``Secure cryptography within the United States may impact law
264. enforcement interests.''
265.  
266.    Although Congress is now evaluating the dispute, a call by a congressional
267. advisory panel for an open public policy debate has not yet been heeded, or
268. even acknowledged, by the administration.
269.  
270.    The FBI nearly won the fight before anyone knew that war had been declared.
271. Its proposal to outlaw electronic cryptography was slipped into another bill as
272. an amendment and nearly became law by default last year before civil liberties
273. watchdogs exposed the move.
274.  
275.     ``It's kind of scary really, the FBI proposal being considered as an
276. amendment by just a few people in the Commerce Committee without really
277. understanding the basis for it,'' said a congressional source, who requested
278. anonymity.  ``For them, I'm sure it seemed innocuous, but what it represented
279. was a fairly profound public policy position giving the government rights to
280. basically spy on anybody and prevent people from stopping privacy
281. infringements.''
282.  
283.    This year, the FBI proposal is back in bolder, stand-alone legislation that
284. has created a battle line with law enforcement on one side and the technology
285. industry and privacy advocates on the other.  ``It says right on its face that
286. they want a remote government monitoring facility'' through which agents in
287. Virginia, for instance, could just flip a switch to tap a conversation in
288. Houston, said Dave Banisar of the Washing ton office of Computer Professionals
289. for Social Responsibility.
290.  
291.    Though the bill would not change existing legal restraints on phone-tapping,
292. it would significantly decrease the practical difficulty of tapping phones --
293. an ominous development to those who fear official assaults on personal and
294. corporate privacy.  And the proposed ban would defuse emerging technical
295. protection against those assaults.
296.  
297.    CPSR, the point group for many issues addressing the way computers affect
298. peoples' lives, is helping lend focus to a cryptographic counterinsurgency that
299. has slowly grown in recent months to include such heavyweights as AT&T, DEC,
300. GTE, IBM, Lotus, Microsoft, Southwestern Bell, and other computer and
301. communications companies.
302.  
303.    The proposed law would ban the use of secure cryptography on any message
304. handled by a computerized communications network.  It would further force
305. service providers to build access points into their equipment through which the
306. FBI -- and conceivably, any police officer at any level -- could eavesdrop on
307. any conversation without ever leaving the comfort of headquarters.
308.  
309.     ``It's an open-ended and very broad set of provisions that says the FBI can
310. demand that standards be set that industry has to follow to ensure that (the
311. FBI) gets access,'' said a congressional source.  ``Those are all code words
312. for if they can't break in, they're going to make (cryptography) illegal.
313. ``This is one of the biggest domestic policy issues facing the country. If you
314. make the wrong decisions, it's going to have a profound effect on privacy and
315. security.''
316.  
317.    The matter is being considered by the House Judiciary Committee, chaired by
318. Rep. Jack Brooks, D-Texas, who is writing a revision to the Computer Security
319. Act of 1987, the government's first pass at secure computing.
320.  
321.    The recent hearings on the matter produced a notable irony, when FBI
322. Director William Sessions was forced to justify his stance against cryptography
323. after giving opening remarks in which he called for stepped-up action to combat
324. a rising tide of industrial espionage. Secure cryptography was designed to
325. address such concerns.
326.  
327.    The emergence of the international marketplace is shaping much of the debate
328. on cryptography. American firms say they can't compete under current policy,
329. and that in fact, overseas firms are allowed to sell technology in America that
330. American firms cannot export.
331.  
332.     ``We have decided to do all further cryptographic development overseas,''
333. said Fred B. Cohen, a noted computer scientist.  ``This is because if we do it
334. here, it's against the law to export it, but if we do it there, we can still
335. import it and sell it here. What this seems to say is that they can have it,
336. but I can't sell it to them -- or in other words -- they get the money from our
337. research.''
338.  
339.    A spokeswoman for the the Software Publishers Association said that such
340. export controls will cost $3-$5 billion in direct revenue if left in place over
341. the next five years. She noted the Commerce Department estimate that each $1
342. billion in direct revenue supports 20,000 jobs.
343.  
344.    The NSA denied any role in limiting the power of cryptographic schemes used
345. by the domestic public, and said it approves 90 percent of cryptographic
346. products referred to NSA by the Department of State for export licenses. The
347. Commerce Department conducts its own reviews.  But the agency conceded that its
348. export approval figures refer only to products that use cryptology to
349. authenticate a communication -- the electronic form of a signed business
350. document -- rather than to provide privacy.
351.  
352.    The NSA, a Defense Department agency created by order of President Harry
353. Truman to intercept and decode foreign communications, employs an army of
354. 40,000 code-breakers.  All of its work is done in secret, and it seldom
355. responds to questions about its activities, so a large reserve of distrust
356. exists in the technology community.
357.  
358.    NSA funding is drawn from the so-called ``black budget,'' which the Defense
359. Budget Project, a watchdog group, estimates at $16.3 billion for 1993.
360.  
361.    While the agency has always focused primarily on foreign espionage, its
362. massive eavesdropping operation often pulls in innocent Americans, according to
363. James Bamford, author of _The Puzzle Palace_, a book focusing on the NSA's
364. activities. Significant invasions of privacy occurred in the 1960s and 1970s,
365. Bamford said.
366.  
367.    Much more recently, several computer network managers have acknowledged
368. privately to the Chronicle that NSA has been given access to data transmitted
369. on their networks -- without the knowledge of network users who may view the
370. communications as private electronic mail.
371.  
372.    Electronic cryptology could block such interceptions of material circulating
373. on regional networks or on Internet -- the massive international computer link.
374.  
375.    While proponents of the new technology concede the need for effective law
376. enforcement, some question whether the espionage needs of the post-Cold War
377. world justify the government's push to limit these electronic safeguards on
378. privacy.
379.  
380.     ``The real challenge is to get the people who can show harm to our national
381. security by freeing up this technology to speak up and tell us what this harm
382. is,'' said John Gillmore, one of the founders of Sun Microsystems.  ``When the
383. privacy of millions of people who have cellular telephones, when the integrity
384. of our computer networks and our PCs against viruses are up for grabs here, I
385. think the battleground is going to be counting up the harm and in the public
386. policy debate trying to strike a balance.''
387.  
388.    But Vinton Cerf, one of the leading figures of the Internet community, urged
389. that those criticizing national policy maintain perspective.  ``I want to ask
390. you all to think a little bit before you totally damn parts of the United
391. States government,'' he said.  ``Before you decide that some of the policies
392. that in fact go against our grain and our natural desire for openness, before
393. you decide those are completely wrong and unacceptable, I hope you'll give a
394. little thought to the people who go out there and defend us in secret and do so
395. at great risk.''
396.  
397. - --
398.  
399. Dr. Vinton G. Cerf
400. Annandale, VA
401.  
402. 11 April 1993
403. The Honorable Timothy Valentine
404. Committee on Science, Space and Technology
405. Subcommittee on Technology, Environment and Aviation
406. House of Representatives
407. Rayburn House Office Building
408.  
409. Dear Chairman Valentine:
410.  
411. I recently had the honor of testifying before the 
412. Subcommittee on Technology, Environment and Aviation 
413. during which time Representative Rohrabacher (R, 
414. California) made the request that I prepare 
415. correspondence to the committee concerning the 
416. present US policy on the export of hardware and 
417. software implementing the Data Encryption Standard 
418. (DES) and the RSA Public Key encryption algorithm 
419. (RSA).
420.  
421. As you know, the DES was developed by the National 
422. Institute for Standards and Technology (NIST) in the 
423. mid-1970s, based on technology developed by 
424. International Business Machines (IBM). The details of 
425. the algorithm were made widely available to the 
426. public and considerable opportunity for public 
427. comment on the technology was offered. In the same 
428. general time period, two researchers at Stanford 
429. University (Martin Hellman and Whitfield Diffie) 
430. published a paper describing the possible existence 
431. of mathematical functions which, unlike the 
432. symmetric DES algorithm, could act in a special, 
433. pairwise fashion to support encryption and 
434. decryption. These so-called "public key algorithms" 
435. had the unusual property that one function would 
436. encrypt and the other decrypt -- differing from the 
437. symmetric DES in which a single function performs 
438. both operations. The public key system uses a pair 
439. of keys, one held private and the other made public. 
440. DES uses one key which is kept secret by all parties 
441. using it.
442.  
443. Three researchers at MIT (Rivest, Shamir and 
444. Adelman) discovered an algorithm which met Hellman 
445. and Diffie's criteria. This algorithm is now called 
446. "RSA" in reference to its inventors. The RSA 
447. technology was patented by Stanford and MIT and a 
448. company, Public Key Partners (PKP), created to 
449. manage licensing of the RSA technology. A company 
450. called RSA Data Security, Inc., was also formed, 
451. which licensed the technology from PKP and markets 
452. products to the public based on the technology.
453.  
454. The current policy of the United States places DES 
455. and RSA technology under export control. Because 
456. cryptography falls into the category of munitions, 
457. it is controlled not only by the Commerce Department 
458. but also by the State Department under the terms of 
459. the International Traffic in Arms regulations. 
460. Despite the public development of both of these 
461. technologies and their documented availability 
462. outside the United States over the last 15 years, US 
463. policy has been uniformly restrictive concerning 
464. export licensing. 
465.  
466. As the United States and the rest of the world enter 
467. more fully into the Information Age in which digital 
468. communications plays a critical role in the global 
469. infrastructure, the "digital signature" capability 
470. of public key cryptography is a critical necessity 
471. for validating business transactions and for 
472. identifying ownership of intellectual property 
473. expressed in digital electronic forms.
474.  
475. Registration and transfer of intellectual property 
476. rights in works which can be represented in digital 
477. form will be central factors in the national and 
478. global information infrastructure. A number of 
479. parties are exploring technical means for carrying 
480. out rights registration and transfer, making use of 
481. public key cryptography as a basic tool. 
482.  
483. In addition, there is a great deal of current work 
484. on electronic mail systems which support privacy by 
485. means of encryption and support authenticity by 
486. means of digital signatures. One of these systems, 
487. developed in the Internet environment I mentioned in 
488. my testimony, is called Privacy-enhanced Mail (PEM) 
489. and makes use of DES, RSA and some other special 
490. "hash" functions which are integral to the 
491. production of digital signatures.
492.  
493. For these various systems to be compatible on an 
494. international basis, it would be very helpful for 
495. the cryptographic components to be exportable on a 
496. world-wide basis. A number of vendors make produces 
497. relying on these technologies within the United 
498. States but often find it very difficult to engage in 
499. international commerce owing to the export licensing 
500. required for these technologies. Ironically, the 
501. technology appears to be widely available outside 
502. the US and also outside the COCOM countries, so US 
503. firms face both competition outside the US and 
504. export inhibitions in their attempts to develop 
505. worldwide markets.
506.  
507. There are  many valid national security reasons for 
508. limiting the export of cryptographic capabilities, 
509. since these technologies may aid an opponent in time 
510. of war or other conflict. Perhaps just as important, 
511. US intelligence gathering capability can be eroded 
512. by the availability of high grade cryptography on a 
513. worldwide basis. Recently, it has also been alleged 
514. that the world-wide availability of cryptography 
515. would also seriously impede US drug enforcement and 
516. anti-crime efforts. While these reasons seem 
517. sufficient, many have pointed out that the 
518. widespread accessibility to the detailed 
519. specifications of DES and RSA and availability and 
520. existence of software and hardware outside the US 
521. have long since done whatever damage is going to be 
522. done in respect of warfighting, crime or drug 
523. potential. This line of reasoning leads to the 
524. conclusion that our policies only inhibit legitimate 
525. commerce, but have little impact on the other 
526. concerns expressed.
527.  
528. As in all such controversy, there is often some 
529. truth on both sides. The National Institutes of 
530. Standards and Technology (NIST), has offered 
531. alternative digital signature capability. Technical 
532. assessments of the alternative have turned up 
533. weaknesses, in the opinions of some experts. There 
534. is not yet an alternative to DES, unless it is to be 
535. found in NSA's Commercial Crypto Evaluation Program 
536. (CCEP) in which NSA proposes to provide algorithms 
537. which are implemented in hardware by industry and 
538. made available for civilian use. As I understand 
539. this program, NSA does not intend to release any 
540. details of the algorithms, leaving open questions 
541. about the nature and strength of the technology. 
542. Some experts will persist in the belief that such 
543. offerings have weaknesses which are deliberately 
544. built in and hidden (so-called "Trojan Horses") 
545. which will allow the agency to "break" any messages 
546. protected by this means.
547.  
548. The critics complained loudly that the reasoning 
549. behind the design of certain parts of the DES 
550. algorithm (specifically the "S-boxes") was never 
551. made public and therefore that the algorithm was 
552. suspect. In fact, the DES has proven to be very 
553. strong - indeed, it may be that very fact which 
554. makes it so unpalatable in some quarters to permit 
555. its unrestricted export. It may be that the CCEP 
556. technology offered is satisfactory, but this is hard 
557. to tell without knowing more about its provenance. 
558.  
559. Presuming the wide availability of both DES and RSA 
560. technology, it seems to me appropriate and timely to 
561. re-examine US export control policy regarding these 
562. two algorithms. In all probability, any such review 
563. will require some classified testimony which will 
564. have to be heard in confidence by cleared members of 
565. your committee. I sincerely hope that the outcome 
566. will be favorable to use by US industry in 
567. international commerce, but even if the outcome 
568. results in continuation of present policy, it is 
569. timely to make such a review, in my opinion.
570.  
571. Sincerely,
572.  
573. Vinton G. Cerf
574.  
575. - --
576.  
577. Date:  7 Apr 93 17:35 -0600
578. From: "Rob Slade, DECrypt Editor" <uunet!decus.arc.ab.ca!roberts>
579. Subject: Review of "Syslaw" by Rose/Wallace
580.  
581. BKSYSLAW.RVW   930402
582.  
583. PC Information Group, Inc.
584. 1126 East Broadway
585. Winona, MN   55987
586. Syslaw, 2nd ed., Lance Rose and Jonathan Wallace, 1992
587.  
588. The introduction to "Syslaw" states that although the title implies the
589. existence of a new kind of law relating to electronic bulletin board systems,
590. in reality it is simply and extension of existing laws, mores and practices. 
591. In the same way, although the book states itself to be aimed at the BBS
592. community, and particularly sysops, there is much here of interest and moment
593. to anyone involved with sharing information through computer systems.
594.  
595. The book also starts with a "disclaimer": the authors suggest that any
596. significant concerns with legal affairs be taken to a lawyer.  Parts of the
597. book may give concern to experts in the specific fields: I was disappointed by
598. the coverage of viral programs (and rather intrigued by a somewhat
599. idiosyncratic definition of "worm").  That aside, the book is an excellent
600. overview of the legal situation and considerations with regard to computer
601. communications systems.
602.  
603. Chapter one is entitled "Your rights as a sysop", although "First Amendment"
604. (the first amendment to the American constitution deals with "free speech")
605. arguments seem to comprise the bulk of it.  Chapter two discusses contracts,
606. and the advisability to have a formal contract so that there is an express
607. understanding between caller and sysop.  Chapter three deals with copyright and
608. other "intellectual property" issues.  Chapter four deals with "injurious
609. materials": it is somewhat surprising that it is not more closely related with
610. chapters eight ("Viruses and other dangerous code") and nine ("Sexually
611. explicit material).  chapters five, six and seven deal with privacy, crime
612. directly related to BBS operation and search and seizure, respectively.  All of
613. them rely quite heavily on examination of the existing American statutes.
614.  
615. A number of appendices are included.  B through H are copies of various related
616. American legislation: I is a list of various state computer crime laws
617. (although the table of contents makes reference to "Sexual Exploitation of
618. Children").  Appendix J is an annotated bibliography of sources for further
619. study.  Interestingly, for a book supposedly targeted at BBS sysops, none of
620. the materials are cited in "online" form.
621.  
622. Appendix A, however, is probably of greatest interest: it is a sample "caller
623. contract"; an agreement between the "users" and "owners" of computer systems. 
624. Written in a "folksy" style, and intended as a understanding between sysops and
625. their "members", it is still a valuable template for any organization with
626. online information systems and general "communications" functions such as email
627. (and, these days, voice mail).
628.  
629. A recommendation that I would make to the authors for the third edition is to
630. make the book less "American".  On the face of it, this might seem like a
631. strange request.  Laws vary from country to country, and it is impossible to
632. write a book covering all possible laws.  However, there are many legal
633. precepts which are common to almost all legal systems.  Chapter two of
634. "Syslaw", for example, deals with contracts.  It does so in a very general way,
635. applicable to almost all situations.  Chapter one, on the other hand, deals
636. with the "First Amendment" to the American Constitution, and is therefore of
637. little use to anyone in any other country.  Chapter three falls into the range
638. between: it deals with copyright and other related concepts, but from an
639. American perspective and with specific and extensive reference to American
640. laws.  Most of the book falls somewhere into the middle ranges.  
641.  
642. Most systems managers and computer operators tend to see "systems law"
643. primarily in relation to "pirate software".  Syslaw is a valuable guide in
644. opening discussions of many related topics which are all too often either
645. neglected, or pass over as being of little importance.
646.  
647. copyright Robert M. Slade, 1993   BKSYSLAW.RVW   930402
648.  
649. - --
650.  
651. From: clipper@csrc.ncsl.nist.gov (Clipper Chip Announcement)
652. Subject: White House Public Encryption Management Fact Sheet
653. Organization: National Institute of Standards & Technology
654. Date: Fri, 16 Apr 1993 20:44:58 GMT
655.  
656.  
657. Note:     The following was released by the White House today in
658.           conjunction with the announcement of the Clipper Chip
659.           encryption technology.
660.  
661.                            FACT SHEET
662.  
663.                   PUBLIC ENCRYPTION MANAGEMENT
664.  
665. The President has approved a directive on "Public Encryption
666. Management."  The directive provides for the following:
667.  
668. Advanced telecommunications and commercially available encryption
669. are part of a wave of new computer and communications technology. 
670. Encryption products scramble information to protect the privacy of
671. communications and data by preventing unauthorized access. 
672. Advanced telecommunications systems use digital technology to
673. rapidly and precisely handle a high volume of communications. 
674. These advanced telecommunications systems are integral to the
675. infrastructure needed to ensure economic competitiveness in the
676. information age.
677.  
678. Despite its benefits, new communications technology can also
679. frustrate lawful government electronic surveillance.  Sophisticated
680. encryption can have this effect in the United States.  When
681. exported abroad, it can be used to thwart foreign intelligence
682. activities critical to our national interests.  In the past, it has
683. been possible to preserve a government capability to conduct
684. electronic surveillance in furtherance of legitimate law
685. enforcement and national security interests, while at the same time
686. protecting the privacy and civil liberties of all citizens.  As
687. encryption technology improves, doing so will require new,
688. innovative approaches.
689.  
690. In the area of communications encryption, the U. S. Government has
691. developed a microcircuit that not only provides privacy through
692. encryption that is substantially more robust than the current
693. government standard, but also permits escrowing of the keys needed
694. to unlock the encryption.  The system for the escrowing of keys
695. will allow the government to gain access to encrypted information
696. only with appropriate legal authorization.
697.  
698. To assist law enforcement and other government agencies to collect
699. and decrypt, under legal authority, electronically transmitted
700. information, I hereby direct the following action to be taken:
701.  
702. INSTALLATION OF GOVERNMENT-DEVELOPED MICROCIRCUITS
703.  
704. The Attorney General of the United States, or her representative,
705. shall request manufacturers of communications hardware which
706. incorporates encryption to install the U.S. government-developed
707. key-escrow microcircuits in their products.  The fact of law
708. enforcement access to the escrowed keys will not be concealed from
709. the American public.  All appropriate steps shall be taken to
710. ensure that any existing or future versions of the key-escrow
711. microcircuit are made widely available to U.S. communications
712. hardware manufacturers, consistent with the need to ensure the
713. security of the key-escrow system.  In making this decision, I do
714. not intend to prevent the private sector from developing, or the
715. government from approving, other microcircuits or algorithms that
716. are equally effective in assuring both privacy and a secure key-
717. escrow system.
718.  
719. KEY-ESCROW
720.  
721. The Attorney General shall make all arrangements with appropriate
722. entities to hold the keys for the key-escrow microcircuits
723. installed in communications equipment.  In each case, the key
724. holder must agree to strict security procedures to prevent
725. unauthorized release of the keys.  The keys shall be released only
726. to government agencies that have established their authority to
727. acquire the content of those communications that have been
728. encrypted by devices containing the microcircuits.  The Attorney
729. General shall review for legal sufficiency the procedures by which
730. an agency establishes its authority to acquire the content of such
731. communications.
732.  
733. PROCUREMENT AND USE OF ENCRYPTION DEVICES
734.  
735. The Secretary of Commerce, in consultation with other appropriate
736. U.S. agencies, shall initiate a process to write standards to
737. facilitate the procurement and use of encryption devices fitted
738. with key-escrow microcircuits in federal communications systems
739. that process sensitive but unclassified information.  I expect this
740. process to proceed on a schedule that will permit promulgation of
741. a final standard within six months of this directive. 
742.  
743. The Attorney General will procure and utilize encryption devices to
744. the extent needed to preserve the government's ability to conduct
745. lawful electronic surveillance and to fulfill the need for secure
746. law enforcement communications.  Further, the Attorney General
747. shall utilize funds from the Department of Justice Asset Forfeiture
748. Super Surplus Fund to effect this purchase.
749.  
750. - --
751.  
752. From: uunet!toad.com!gnu (John Gilmore)
753. Subject: White House press release on encryption policy
754. Date: Fri, 16 Apr 93 12:24:20 -0700
755.  
756. Note:  This file will also be available via anonymous file
757. transfer from csrc.ncsl.nist.gov in directory /pub/nistnews and
758. via the NIST Computer Security BBS at 301-948-5717.
759.  
760.      ---------------------------------------------------
761.  
762.                          THE WHITE HOUSE
763.  
764.                   Office of the Press Secretary
765.  
766. _________________________________________________________________
767.  
768. For Immediate Release                           April 16, 1993
769.  
770.  
771.                 STATEMENT BY THE PRESS SECRETARY
772.  
773.  
774. The President today announced a new initiative that will bring
775. the Federal Government together with industry in a voluntary
776. program to improve the security and privacy of telephone
777. communications while meeting the legitimate needs of law
778. enforcement.
779.  
780. The initiative will involve the creation of new products to
781. accelerate the development and use of advanced and secure
782. telecommunications networks and wireless communications links.
783.  
784. For too long there has been little or no dialogue between our
785. private sector and the law enforcement community to resolve the
786. tension between economic vitality and the real challenges of
787. protecting Americans.  Rather than use technology to accommodate
788. the sometimes competing interests of economic growth, privacy and
789. law enforcement, previous policies have pitted government against
790. industry and the rights of privacy against law enforcement.
791.  
792. Sophisticated encryption technology has been used for years to
793. protect electronic funds transfer.  It is now being used to
794. protect electronic mail and computer files.  While encryption
795. technology can help Americans protect business secrets and the
796. unauthorized release of personal information, it also can be used
797. by terrorists, drug dealers, and other criminals.
798.  
799. A state-of-the-art microcircuit called the "Clipper Chip" has
800. been developed by government engineers.  The chip represents a
801. new approach to encryption technology.  It can be used in new,
802. relatively inexpensive encryption devices that can be attached to
803. an ordinary telephone.  It scrambles telephone communications
804. using an encryption algorithm that is more powerful than many in
805. commercial use today.
806.  
807. This new technology will help companies protect proprietary
808. information, protect the privacy of personal phone conversations
809. and prevent unauthorized release of data transmitted
810. electronically.  At the same time this technology preserves the
811. ability of federal, state and local law enforcement agencies to
812. intercept lawfully the phone conversations of criminals. 
813.  
814. A "key-escrow" system will be established to ensure that the
815. "Clipper Chip" is used to protect the privacy of law-abiding
816. Americans.  Each device containing the chip will have two unique
817. "keys," numbers that will be needed by authorized government
818. agencies to decode messages encoded by the device.  When the
819. device is manufactured, the two keys will be deposited separately
820. in two "key-escrow" data bases that will be established by the
821. Attorney General.  Access to these keys will be limited to
822. government officials with legal authorization to conduct a
823. wiretap.
824.  
825. The "Clipper Chip" technology provides law enforcement with no
826. new authorities to access the content of the private
827. conversations of Americans.
828.  
829. To demonstrate the effectiveness of this new technology, the
830. Attorney General will soon purchase several thousand of the new
831. devices.  In addition, respected experts from outside the
832. government will be offered access to the confidential details of
833. the algorithm to assess its capabilities and publicly report
834. their findings.
835.  
836. The chip is an important step in addressing the problem of
837. encryption's dual-edge sword:  encryption helps to protect the
838. privacy of individuals and industry, but it also can shield
839. criminals and terrorists.  We need the "Clipper Chip" and other
840. approaches that can both provide law-abiding citizens with access
841. to the encryption they need and prevent criminals from using it
842. to hide their illegal activities.  In order to assess technology
843. trends and explore new approaches (like the key-escrow system),
844. the President has directed government agencies to develop a
845. comprehensive policy on encryption that accommodates:
846.  
847.      --   the privacy of our citizens, including the need to
848.           employ voice or data encryption for business purposes;
849.  
850.      --   the ability of authorized officials to access telephone
851.           calls and data, under proper court or other legal
852.           order, when necessary to protect our citizens;
853.  
854.      --   the effective and timely use of the most modern
855.           technology to build the National Information
856.           Infrastructure needed to promote economic growth and
857.           the competitiveness of American industry in the global
858.           marketplace; and 
859.  
860.      --   the need of U.S. companies to manufacture and export
861.           high technology products.
862.  
863. The President has directed early and frequent consultations with
864. affected industries, the Congress and groups that advocate the
865. privacy rights of individuals as policy options are developed.
866.  
867. The Administration is committed to working with the private
868. sector to spur the development of a National Information
869. Infrastructure which will use new telecommunications and computer
870. technologies to give Americans unprecedented access to
871. information.  This infrastructure of high-speed networks
872. ("information superhighways") will transmit video, images, HDTV
873. programming, and huge data files as easily as today's telephone
874. system transmits voice.
875.  
876. Since encryption technology will play an increasingly important
877. role in that infrastructure, the Federal Government must act
878. quickly to develop consistent, comprehensive policies regarding
879. its use.  The Administration is committed to policies that
880. protect all Americans' right to privacy while also protecting
881. them from those who break the law.
882.  
883. Further information is provided in an accompanying fact sheet. 
884. The provisions of the President's directive to acquire the new
885. encryption technology are also available.  
886.  
887. For additional details, call Mat Heyman, National Institute of
888. Standards and Technology, (301) 975-2758.
889.  
890. - - ---------------------------------
891.  
892. QUESTIONS AND ANSWERS ABOUT THE CLINTON ADMINISTRATION'S
893. TELECOMMUNICATIONS INITIATIVE
894.  
895. Q:   Does this approach expand the authority of government
896.      agencies to listen in on phone conversations?
897.  
898. A:   No.  "Clipper Chip" technology provides law enforcement with
899.      no new authorities to access the content of the private
900.      conversations of Americans.
901.  
902. Q:   Suppose a law enforcement agency is conducting a wiretap on
903.      a drug smuggling ring and intercepts a conversation
904.      encrypted using the device.  What would they have to do to
905.      decipher the message?
906.  
907. A:   They would have to obtain legal authorization, normally a
908.      court order, to do the wiretap in the first place.  They
909.      would then present documentation of this authorization to
910.      the two entities responsible for safeguarding the keys and
911.      obtain the keys for the device being used by the drug
912.      smugglers.  The key is split into two parts, which are
913.      stored separately in order to ensure the security of the key
914.      escrow system.
915.  
916. Q:   Who will run the key-escrow data banks?
917.  
918. A:   The two key-escrow data banks will be run by two independent
919.      entities.  At this point, the Department of Justice and the
920.      Administration have yet to determine which agencies will
921.      oversee the key-escrow data banks.
922.  
923. Q:   How strong is the security in the device?  How can I be sure
924.      how strong the security is?  
925.  
926. A:   This system is more secure than many other voice encryption
927.      systems readily available today.  While the algorithm will
928.      remain classified to protect the security of the key escrow
929.      system, we are willing to invite an independent panel of
930.      cryptography experts to evaluate the algorithm to assure all
931.      potential users that there are no unrecognized
932.      vulnerabilities.
933.  
934. Q:   Whose decision was it to propose this product?
935.  
936. A:   The National Security Council, the Justice Department, the
937.      Commerce Department, and other key agencies were involved in
938.      this decision.  This approach has been endorsed by the
939.      President, the Vice President, and appropriate Cabinet
940.      officials.
941.  
942. Q:   Who was consulted?  The Congress?  Industry?
943.  
944. A:   We have on-going discussions with Congress and industry on
945.      encryption issues, and expect those discussions to intensify
946.      as we carry out our review of encryption policy.  We have
947.      briefed members of Congress and industry leaders on the
948.      decisions related to this initiative.
949.  
950. Q:   Will the government provide the hardware to manufacturers?
951.  
952. A:   The government designed and developed the key access
953.      encryption microcircuits, but it is not providing the
954.      microcircuits to product manufacturers.  Product
955.      manufacturers can acquire the microcircuits from the chip
956.      manufacturer that produces them.
957.  
958. Q:   Who provides the "Clipper Chip"?
959.  
960. A:   Mykotronix programs it at their facility in Torrance,
961.      California, and will sell the chip to encryption device
962.      manufacturers.  The programming function could be licensed
963.      to other vendors in the future.
964.  
965. Q:   How do I buy one of these encryption devices? 
966.  
967. A:   We expect several manufacturers to consider incorporating
968.      the "Clipper Chip" into their devices.
969.      
970. Q:   If the Administration were unable to find a technological
971.      solution like the one proposed, would the Administration be
972.      willing to use legal remedies to restrict access to more
973.      powerful encryption devices?
974.  
975. A:   This is a fundamental policy question which will be
976.      considered during the broad policy review.  The key escrow
977.      mechanism will provide Americans with an encryption product
978.      that is more secure, more convenient, and less expensive
979.      than others readily available today, but it is just one
980.      piece of what must be the comprehensive approach to
981.      encryption technology, which the Administration is
982.      developing.
983.  
984.      The Administration is not saying, "since encryption
985.      threatens the public safety and effective law enforcement,
986.      we will prohibit it outright" (as some countries have
987.      effectively done); nor is the U.S. saying that "every
988.      American, as a matter of right, is entitled to an
989.      unbreakable commercial encryption product."  There is a
990.      false "tension" created in the assessment that this issue is
991.      an "either-or" proposition.  Rather, both concerns can be,
992.      and in fact are, harmoniously balanced through a reasoned,
993.      balanced approach such as is proposed with the "Clipper
994.      Chip" and similar encryption techniques.
995.  
996. Q:   What does this decision indicate about how the Clinton
997.      Administration's policy toward encryption will differ from
998.      that of the Bush Administration?  
999.  
1000. A:   It indicates that we understand the importance of encryption
1001.      technology in telecommunications and computing and are
1002.      committed to working with industry and public-interest
1003.      groups to find innovative ways to protect Americans'
1004.      privacy, help businesses to compete, and ensure that law
1005.      enforcement agencies have the tools they need to fight crime
1006.      and terrorism.
1007.  
1008. Q:   Will the devices be exportable?  Will other devices that use
1009.      the government hardware?
1010.  
1011. A:   Voice encryption devices are subject to export control
1012.      requirements.  Case-by-case review for each export is
1013.      required to ensure appropriate use of these devices.  The
1014.      same is true for other encryption devices.  One of the
1015.      attractions of this technology is the protection it can give
1016.      to U.S. companies operating at home and abroad.  With this
1017.      in mind, we expect export licenses will be granted on a
1018.      case-by-case basis for U.S. companies seeking to use these
1019.      devices to secure their own communications abroad.  We plan
1020.      to review the possibility of permitting wider exportability
1021.      of these products.
1022.  
1023. - --
1024.  
1025. Date:         Fri, 16 Apr 1993 16:23:44 EST
1026. Sender: Computer Professionals for Social Responsibility
1027.               <uunet!VTVM2.CC.VT.EDU!CPSR%GWUVM.BITNET>
1028. From: David Sobel <uunet!washofc.cpsr.org!dsobel>
1029. Organization: CPSR Civil Liberties and Computing Project
1030. Subject:      CPSR Crypto Statement
1031.  
1032.   CPSR Crypto Statement
1033. -----------------------------------------------
1034. April 16, 1993
1035. Washington, DC
1036.  
1037.                COMPUTER PROFESSIONALS CALL FOR PUBLIC
1038.            DEBATE ON NEW GOVERNMENT ENCRYPTION INITIATIVE
1039.  
1040.         Computer Professionals for Social Responsibility (CPSR)
1041. today called for the public disclosure of technical data
1042. underlying the government's newly-announced "Public Encryption
1043. Management" initiative.  The new cryptography scheme was
1044. announced today by the White House and the National Institute
1045. for Standards and Technology (NIST), which will implement the
1046. technical specifications of the plan.  A NIST spokesman
1047. acknowledged that the National Security Agency (NSA), the super-
1048. secret military intelligence agency, had actually developed the
1049. encryption technology around which the new initiative is built.
1050.  
1051.         According to NIST, the technical specifications and the
1052. Presidential directive establishing the plan are classified.  To
1053. open the initiative to public review and debate, CPSR today
1054. filed a series of Freedom of Information Act (FOIA) requests
1055. with key agencies, including NSA, NIST, the National Security
1056. Council and the FBI for information relating to the encryption
1057. plan.  The CPSR requests are in keeping with the spirit of the
1058. Computer Security Act, which Congress passed in 1987 in order to
1059. open the development of non-military computer security standards
1060. to public scrutiny and to limit NSA's role in the creation of
1061. such standards.
1062.  
1063.         CPSR previously has questioned the role of NSA in
1064. developing the so-called "digital signature standard" (DSS), a
1065. communications authentication technology that NIST proposed for
1066. government-wide use in 1991.  After CPSR sued NIST in a FOIA
1067. lawsuit last year, the civilian agency disclosed for the first
1068. time that NSA had, in fact, developed that security standard.
1069. NSA is due to file papers in federal court next week justifying
1070. the classification of records concerning its creation of the
1071. DSS.
1072.  
1073.         David Sobel, CPSR Legal Counsel, called the
1074. administration's apparent commitment to the privacy of
1075. electronic communications, as reflected in today's official
1076. statement,  "a step in the right direction."  But he questioned
1077. the propriety of NSA's role in the process and the apparent
1078. secrecy that has thus far shielded the development process from
1079. public scrutiny.  "At a time when we are moving towards the
1080. development of a new information infrastructure, it is vital
1081. that standards designed to protect personal privacy be
1082. established openly and with full public participation.  It is
1083. not appropriate for NSA -- an agency with a long tradition of
1084. secrecy and opposition to effective civilian cryptography -- to
1085. play a leading role in the development process."
1086.  
1087.         CPSR is a national public-interest alliance of computer
1088. industry professionals dedicated to examining the impact of
1089. technology on society.   CPSR has 21 chapters in the U.S. and
1090. maintains offices in Palo Alto, California, Cambridge,
1091. Massachusetts and Washington, DC.  For additional information on
1092. CPSR, call (415) 322-3778 or e-mail <cpsr@csli.stanford.edu>.
1093.  
1094. - --
1095.  
1096. Date: Fri, 16 Apr 1993 15:17:02 -0400
1097. From: Cliff Figallo <uunet!eff.org!fig>
1098. Subject: EFFector Online 5.06
1099. To: eff.org!eff-news (eff-news mailing list)
1100.  
1101. EFFector Online Volume 5 No. 6       4/16/1993       editors@eff.org
1102. A Publication of the Electronic Frontier Foundation   ISSN 1062-9424
1103. 454 lines
1104.  
1105.                   -==--==--==-<>-==--==--==- 
1106.                         In this issue:
1107.    Initial EFF Analysis of Clinton Privacy and Security Proposal
1108.       Society for Electronic Access:  A New York City-based
1109.                 grassroots online activist group.
1110.      Updated Contact List for Regional Online Activist Groups
1111.                   -==--==--==-<>-==--==--==- 
1112.  
1113.                        April 16, 1993
1114.  
1115.       INITIAL EFF ANALYSIS OF CLINTON PRIVACY AND SECURITY  
1116.                            PROPOSAL
1117.  
1118.        The Clinton Administration today made a major announcement 
1119. on cryptography policy which will effect the privacy and security of 
1120. millions of Americans.  The first part of the plan is to begin a 
1121. comprehensive inquiry into major communications privacy issues 
1122. such as export controls which have effectively denied most people 
1123. easy access to robust encryption as well as law enforcement issues 
1124. posed by new technology.
1125.  
1126.        However, EFF is very concerned that the Administration has 
1127. already reached a conclusion on one critical part of the inquiry, before 
1128. any public comment or discussion has been allowed.  Apparently, the 
1129. Administration is going to use its leverage to get all telephone 
1130. equipment vendors to adopt a voice encryption standard developed 
1131. by the National Security Agency. The so-called "Clipper Chip" is an 
1132. 80-bit, split key escrowed encryption scheme which will be built into 
1133. chips manufactured by a military contractor.  Two separate escrow 
1134. agents would store users' keys, and be required to turn them over 
1135. law enforcement upon presentation of a valid warrant.  The 
1136. encryption scheme used is to be classified, but they chips will be 
1137. available to any manufacturer for incorporation into their 
1138. communications products.
1139.  
1140.        This proposal raises a number of serious concerns .
1141.  
1142.        First, the Administration appears to be adopting a solution 
1143. before conducting an inquiry.  The NSA-developed Clipper chip may 
1144. not be the most secure product. Other vendors or developers may 
1145. have better schemes. Furthermore, we should not rely on the 
1146. government as the sole source for Clipper or any other chips.  Rather,
1147. independent chip manufacturers should be able to produce chipsets 
1148. based on open standards.
1149.  
1150.        Second, an algorithm can not be trusted unless it can be tested. 
1151. Yet the Administration proposes to keep the chip algorithm 
1152. classified.  EFF believes that any standard adopted ought to be public 
1153. and open.  The public will only have confidence in the security of a 
1154. standard that is open to independent, expert scrutiny.  
1155.  
1156.        Third, while the use of the split-key, dual-escrowed 
1157. system may prove to be a reasonable balance between privacy and 
1158. law enforcement needs, the details of this scheme must be explored 
1159. publicly before it is adopted.  What will give people confidence in the 
1160. safety of their keys?  Does disclosure of keys to a third party waive 
1161. individual's fifth amendment rights in subsequent criminal 
1162. inquiries?  
1163.  
1164.        In sum, the Administration has shown great sensitivity to the 
1165. importance of these issues by planning a comprehensive inquiry into 
1166. digital privacy and security.  However, the "Clipper chip" solution 
1167. ought to be considered as part of the inquiry, not be adopted before 
1168. the discussion even begins.
1169.  
1170. DETAILS OF THE PROPOSAL:
1171.  
1172. ESCROW
1173.  
1174. The 80-bit key will be divided between two escrow agents, each of 
1175. whom hold 40 bits of each key.  Upon presentation of a valid 
1176. warrant, the two escrow agents would have to turn the key parts 
1177. over to law enforcement agents.  Most likely the Attorney General 
1178. will be asked to identify appropriate escrow agents.  Some in the 
1179. Administration have suggested one non-law enforcement federal 
1180. agency, perhaps the Federal Reserve, and one non-governmental 
1181. organization.  But, there is no agreement on the identity of the agents 
1182. yet.
1183.  
1184. Key registration would be done by the manufacturer of the 
1185. communications device.  A key is tied to the device, not to the person 
1186. using it.
1187.  
1188. CLASSIFIED ALGORITHM AND THE POSSIBILITY OF BACK DOORS
1189.  
1190. The Administration claims that there are no back door means by 
1191. which the government or others could break the code without 
1192. securing keys from the escrow agents and that the President will 
1193. be told there are no back doors to this classified algorithm.  In order 
1194. to prove this, Administration sources are interested in arranging for 
1195. an all-star crypto cracker team to come in, under a security 
1196. arrangement, and examine the algorithm for trap doors.  The results 
1197. of the investigation would then be made public.
1198.  
1199. GOVERNMENT AS MARKET DRIVER
1200.  
1201. In order to get a market moving, and to show that the government 
1202. believes in the security of this system, the feds will be the first big 
1203. customers for this product.  Users will include the FBI, Secret Service, 
1204. VP Al Gore, and maybe even the President. 
1205.  
1206. FROM MORE INFORMATION CONTACT:
1207.  
1208. Jerry Berman, Executive Director
1209. Daniel J. Weitzner, Senior Staff Counsel
1210.  
1211. - --
1212.  
1213. Date: Mon, 19 Apr 93 00:11:40 -0700
1214. From: uunet!netcom.com!crunch (John Draper)
1215. Subject: My comments on the Clipper or Tapper chip,
1216.  
1217. I don't know wheter or not I should post this in alt.security.pgp,
1218. or other newsgroups,   but here's my official comments on what
1219. I think of the Clinton Adm "Clipper" or "Tapper" chip.  Any press
1220. people are welcome to use it,  and feel free to send it out 
1221. wherever it will help.
1222.  
1223. My official statement and comments on the "Tapper chip"
1224. =======================================================
1225.  
1226.   I believe that the Clintom Admin is trying to push this idea through
1227. without giving much thought on the ramifications of this rather intreguing
1228. idea of "registering" your keys with some government agency.   This
1229. overwhelming urge to "tap into" our private conversations is just going
1230. to promote private encryption and voice scrambling.   It is not going
1231. to make law enforcement's job any easier to catch criminals,  because 
1232. they will also encrypt their voice and data.  It reminds me of that
1233. popular bumper sticker "If guns are outlawed,  then only outlaws will
1234. have guns".   It is clear that the government considers encryption as
1235. a "weapon",  used by the enemy to keep nosey people away.  Look at
1236. the current export laws to convince yourself of that.   I guess I
1237. can think of it as a weapon to preserve my privacy.
1238.  
1239.   This is not only going to get a bad reception in the industry,  but
1240. it will cost the government more money by adding huge administration
1241. costs.   Talk about government "FAT"?    I thought our goals are to
1242. cut government spending,   not add to it.    Lets see!!  You need
1243. two agencys (Hopefully ones that people can trust).   Gee!!  I cannot
1244. even think of just ONE agency that I can trust!!  can you?    Then,
1245. these agencys have to keep track of one half of an 80 bit key.   
1246. I guess there is one key for each "clipper" chip,  so there has to be
1247. the capability of millions of keys,   each one has to perfectly match
1248. the other half.    Then there will be people needed to "register" these
1249. "tapper" phones.    Lets not even think about what happens when one
1250. decides to sell it!!    MORE government FAT!!.   I guess thats why
1251. they're called FAT CATS.
1252.  
1253.   Now,  if I were a criminal,   do you think I would be dumb enough to
1254. "register" my phone with the government.   Of course not.    I would
1255. probably get mine on the black market,  or though some other illicit
1256. means!!   If I were a law abiding citizen,  would I trust some government
1257. agency with my encryption key?   Would you??
1258.  
1259.   Then,  there is this classified algorithm used in the clipper chip 
1260. itself.    I'm sure its pretty good,   and it is probably hard to attack
1261. and crack.    But can you really be absolutely sure that there isn't some
1262. sort of "back door" in it??    
1263.  
1264.   It is clear that the industry hasn't been consulted,  or ideas were
1265. not put forth in some public forum.   So,  where is this democratic
1266. process??   We ARE still a democracy,  aren't we?
1267.  
1268.   How was this company that sells the "Clipper chip" selected??   Was
1269. RSA data security people contacted??
1270.  
1271.   It is clear that a lot of questions have to be answered before something
1272. like this can be accepted.   I just hope the right people make the right
1273. decision,  and that PRIVATE encryption be the responsibility of the user,  
1274. and NOT the carriers.
1275.  
1276.    It is important that more and more private encryption programs,  equipment,
1277. etc,  can be made available on the market.    If RSA is two tight with
1278. their licensing fees and policys,  then there should be more math whiz 
1279. types making better algorithms than RSA's.    The field is wide open,  so
1280. lets exploit them!!
1281.  
1282. John D.
1283.  
1284. - --
1285.  
1286. To keep from duplicating the efforts already compiled by it's editors,
1287. LNN highly recommends reading the April 14, 1993 issue of the Computer
1288. Underground Digest (CuD)(Volume 5, Issue 27). The entire content of this
1289. particular issue discusses important legal issues which the computing
1290. public should be familiar with. To get you pointed in the right
1291. direction, this snippet of that issue outlines the topics discussed
1292. and instructions on how to get CuD are included below:
1293.  
1294. 8<------ Cut Here ---------------
1295.  
1296. Computer underground Digest    Wed Apr 14 1993   Volume 5 : Issue 27
1297.                            ISSN  1004-042X
1298.  
1299. CONTENTS, #5.27 (Apr 14 1993)
1300. File 1--EFF and CPSR testimony against 18 USC 1030 Sent. Revisions
1301. File 2--CPSR Comments on 1030 Guidelines
1302. File 3--EFF Response to Proposed Sentencing Guidelines
1303. File 4--LEGISLATIVE DATA ONLINE -- AB1624 needs support
1304. File 5--AB1624 MANDATES ONLINE PUBLIC ACCESS TO LEGISLATIVE RECORDS
1305. File 6--Some comments on AB1624 re online legislative access
1306. File 7--AB1624 UPDATE#1--Making Leg. Data available Online
1307.  
1308. Cu-Digest is a weekly electronic journal/newsletter. Subscriptions are
1309. available at no cost electronically from tk0jut2@mvs.cso.niu.edu. The
1310. editors may be contacted by voice (815-753-6430), fax (815-753-6302)
1311. or U.S. mail at:  Jim Thomas, Department of Sociology, NIU, DeKalb, IL
1312. 60115.
1313.  
1314. Issues of CuD can also be found in the Usenet comp.society.cu-digest
1315. news group; on CompuServe in DL0 and DL4 of the IBMBBS SIG, DL1 of
1316. LAWSIG, and DL0 and DL12 of TELECOM; on GEnie in the PF*NPC RT
1317. libraries and in the VIRUS/SECURITY library; from America Online in
1318. the PC Telecom forum under "computing newsletters;"
1319. On Delphi in the General Discussion database of the Internet SIG;
1320. on the PC-EXEC BBS at (414) 789-4210; and on: Rune Stone BBS (IIRG
1321. WHQ) 203-832-8441 NUP:Conspiracy
1322. CuD is also available via Fidonet File Request from 1:11/70; unlisted
1323. nodes and points welcome.
1324. EUROPE:   from the ComNet in Luxembourg BBS (++352) 466893;
1325.  
1326. ANONYMOUS FTP SITES:
1327.   UNITED STATES:  ftp.eff.org (192.88.144.4) in /pub/cud
1328.                   uglymouse.css.itd.umich.edu (141.211.182.53) in /pub/CuD/cud
1329.                   halcyon.com( 202.135.191.2) in /pub/mirror/cud
1330.   AUSTRALIA:      ftp.ee.mu.oz.au (128.250.77.2) in /pub/text/CuD.
1331.   EUROPE:         nic.funet.fi in pub/doc/cud. (Finland)
1332.                   ftp.warwick.ac.uk in pub/cud (United Kingdom)
1333.  
1334. Back issues also may be obtained through mailservers at:
1335. mailserv@batpad.lgb.ca.us   or  server@blackwlf.mese.com
1336.  
1337. - --
1338. End of Legal Net News, v1, i2
1339.